Page de titre

  • Audit de l'Organisation

  • Réalisé le

  • Conduit par

I - SENSIBILISER ET FORMER

1 - Former les équipes opérationnelles à la sécurité des systèmes d’information

  • Les équipes opérationnelles suivent-elles, à leur prise de poste puis à intervalle régulier, des formations à la sécurité des données ?

  • Ces formations portent sur les aspects techniques (paramétrage fin et durcissement des systèmes, cloisonnement réseau, la journalisation, ...)

  • Ces formations portent sur les aspects organisationnels (risques et menaces, maintien en condition de sécurité, authentification, contrôle d'accès, ...)

  • Ces formations portent sur les aspects réglementaires (législation en vigueur, règlementations applicables, RGPD, certifications et labels de l'organisation ...)

  • Existe-t-il des clauses spécifiques dans les contrats de prestation pour garantir le niveau de formation à la sécurité du personnel externe ou des infogérants ?

2 - Sensibiliser les utilisateurs aux bonnes pratiques élémentaires

  • Existe-t-il des séances de sensibilisation ou de formation à la sécurité des SI à l'arrivée d'un collaborateur ?

  • Les sujets sont-ils contextualisés par rapport au fonctionnement de l'Organisation et son contexte ?

  • Lesquels sont abordés parmi les sujets suivants ?

  • objectifs et enjeux

  • classification des informations ( standards, sensibles, confidentielles, ...)

  • respect des règles de sécurité du quotidien (BYOD, mots de passe, signalement d'évènements suspects, verrouillage de session, outils validés par l'Organisme, ...)

  • Existe-t-il des séances de sensibilisation ou de formation à la sécurité des SI de façon récurrente ?

  • Les actions de sensibilisation sont-elles adaptées aux utilisateurs ciblés ?

  • Lesquels sont abordés parmi les sujets suivants ?

  • objectifs et enjeux

  • classification des informations ( standards, sensibles, confidentielles, ...)

  • respect des règles de sécurité du quotidien (BYOD, mots de passe, signalement d'évènements suspects, verrouillage de session, outils validés par l'Organisme, ...)

  • Une charte utilisateur des moyens informatique existe-t-elle ?

  • Cette charte inclus-t-elle les règles et consignes de sécurité que doivent respecter les collaborateurs ?

3 - Maîtriser les risques de l'infogérance

  • Dans le cadre de l'infogérance, les besoins et mesures de sécurité exigées font-elles partie du cahier des charges (ou appel d'offre) fourni au prestataire ?

  • Les exigences suivantes de sécurité font-elles parties des cahiers de charges/appels d'offre ?

  • Pouvez lister les exigences ci-après faisant partie des cahiers des charges ?

  • la réversibilité des services

  • la sauvegarde des données, sécurisées et chiffrées

  • la restitution des données dans un format normalisé

  • l'audit des services

  • Pour chaque prestataire, disposez-vous d'un Plan d'Assurance Sécurité (PAS) en cohérence avec les exigences du cahier des charges/appel d'offres ?

II - CONNAÎTRE LE SYSTÈME D’INFORMATION

4 - Identifier les informations et serveurs les plus sensibles Maintenir un schéma réseau

  • Avez-vous définie la notion de données sensibles, en particulier dans le cadre du règlement européen sur la protection les données personnelles

  • Possédez vous une cartographie de vos données, en particulier les données sensibles

  • Existe-t-il un schéma réseau/une cartographie simplifié à jour sur le périmètre des données sensibles ?

  • Préciser les informations incluses dans cette cartographie :

  • d'identifier les zones IP et le plan d'adressage IP

  • les équipements réseau (pare-feu, reverse proxi, commutateurs, routeurs ...)

  • d'identifier les point de connexion avec l'extérieur (internet, VPN partenaires ...)

  • de localiser les serveurs et les espaces de stockages concernés par les traitements, la sauvegarde ou le stockage des données sensibles

  • Existe-t-il une procédure de revue documentaire et "d'audit" récurrent de cette cartographie

5 - Disposer d'un inventaire exhaustif et à jour des comptes privilégiés

  • Disposez-vous de la liste des utilisateurs à forts privilèges (administrateurs, super utilisateurs, ...) ?

  • Disposez-vous de la liste des utilisateurs disposant des droits d'accès aux ressources des responsables/VIP ?

  • Faites-vous un revue périodique des droits d'accès ?

  • Disposez-vous d'une nomenclature de nommage des comptes (ADM_, SRV_, ...) ?

6 - Gestion de flux RH

  • Existe-t-il des flux d'information des évènements RH en vue de la gestion des droits et des habilitations (Politique du moindre privilège)

Ces flux traitent-ils d'événements suivant :

  • Création/Suppression des comptes et BAL

  • Gestion des droits et des habilitations

  • Gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.)

  • Gestion des accès physiques aux locaux

  • Affectation/restitution des équipements mobiles

  • Les procédures sont-elles formalisées, et mise à jour en fonction du contexte ?

  • Une équipe est-elle dédiée à la Gestion des accès et habilitations ?

7 - Maîtrise des équipements connectés

  • La connexion au réseau de l'organisation (WiFi, filaire) des équipements personnels estelles encadrée ?

  • Existe-t-il un réseau WiFi dédié pour les terminaux personnels ou les visiteurs ?

  • Les utilisateurs sont-ils sensibilisés aux risques qu'ils font courir à l'organisation en recourant au BYOD ?

  • Le filtrage d'adresse MAC est-il en œuvre ?

  • Un dispositif d’authentification des postes sur le réseau est-il en œuvre ?

III - AUTHENTIFIER ET CONTROLER LES ACCÈS

8 - Gestion des utilisateurs

  • Disposez-vous de comptes génériques (hors admin, comptes de services, ...) ?

  • Les comptes génériques peuvent-ils être rattachés à un nombre restreints de personnes ?

  • Les administrateurs disposentils d'un compte utilisateur et d'un compte d'administration protégés par 2 mots de passe différents ?

  • La journalistion des connexions (réussies ou en échec) estelle effective ?

9 - Attribution des droits sur les ressources sensibles

  • Pour chacune des ressources contenant des données sensibles, avez-vous :

  • Définie les droits d'accès (population d'utilisateur)

  • La capacité à contrôler les accès, et en particulier ceux interdits

  • La capacité à maîtriser les copies des informations en des endroits non maîtrisés

  • Disposez-vous d'outils de gouvernance de la données

  • Disposez-vous d'outils de détection et d'alerte pour les incidents de sécurité

10 - Mots de passe

  • Les utilisateurs sont-ils sensibilisé (maison/travail, robustesse, stockage de mots de passe) ?

  • Avez-vous fixé une durée de vie des mots de passes (en particulier ceux de connexion au SI/AD) ?

  • Qu'elle est-elle ?

  • Les comptes sontils bloqués à l'issue de plusieurs échecs de connexion ?

  • Faites-vous régulièrement un audit de robustesse des mots de passe ?

  • Disposez-vous d'une politique formalisée des mots de passe ?

  • Les journaux de connexion sont-ils analysé pour détecter des tentatives de connexion frauduleuse dans les 24h suivant la tentative ?

11 - Protection de mots de passe

  • Un outils de type coffre-fort numérique est-il utilisé ?

  • L'usage estil répandu dans tous les métiers ?

12 - Mots de passe par défaut

  • Les éléments d'authentification par défaut des composants du SI sont-ils modifiés dès l'installation ?

  • La robustesse de ces mots de passe est-elle conforme à la politique de l'Organisation (dimension, complexité, règle de stockage

  • Les mots de passe d'administration des équipements sont-ils changés régulièrement ?

  • L'organisation dispose t'elle d'un outils de type coffrefort centralisé ?

13 - Privilégier une authentification forte

  • Utilisez-vous des mécanismes d'authentification forte au sein de l'Organisation ?

  • Une authentification forte correctement implémentée utilise au moins de 2 facteurs, pouvez-vous confirmer les facteurs utilisés parmi les suivants :

  • ce que je sais (mot de passe, signature, ...)

  • ce que je possède (carte à puce, jeton USB RFID, ...)

  • ce que je suis (empreinte biométrique)

IV - SÉCURISER LES POSTES

14 - Assurer un niveau de sécurité minimum sur tout le parc informatique

  • Avez-vous la maîtrise des applications installées sur le parc utilisateurs ?

  • Avez-vous la maîtrise des modules optionnels des navigateurs web ?

  • Les postes utilisateurs disposent-ils d'un antivirus ?

  • Les partitions stockant les données utilisateurs sont-elles chiffrées (à défaut, au moins pour les VIP) ?

  • L'exécution des autorun est-elle désactivée ?

  • Les données vitales au bon fonctionnement de l'entreprises sont-elles sauvegardées régulièrement, qu'elles soient sur les postes utilisateurs ou les serveurs ?

  • Les sauvegardes sont-elles sécurisées (chiffrées, déconnectées) ?

  • La restauration des données est-elle également vérifiées de manière périodique ?

15 - Menaces relatives à l'utilisation de supports amovibles

  • L'utilisation de supports amovibles USB estelle autorisée (port USB non bloqués) ?

  • Les utilisateurs sont-ils sensibilisés aux bonnes pratiques d'utilisation de ce type de support (clés ramassées notamment, exécution de programme, chiffrement) ?

  • Disposez-vous de solution d'interdiction d'exécution de programmes sur les périphériques amovibles (Applocker, option noexec Linux) ?

  • Disposez-vous d'une procédure de mise au rebut spécifique aux supports amovibles ?

16 - Outils de gestion centralisé

  • Disposez-vous d'un outils de gestion centralisé (type AD ou LDAP) ?

  • Les postes de travail sontils inscrit dans cet outils ?

  • Estce que les configurations par défaut des OS et applications sontelles modifiées ?

  • Avezvous mis en œuvre des règles de sécurité centralisées (type GPO) ?

17 - Parefeu local des postes de travail

  • Les parefeu locaux des postes de travail sont-ils activés ?

  • La matrice des flux entrants sur les postes de travail est-elle disponible ?

  • Les règles respectent elles le principe "tout est bloqué sauf ce qui est explicitement autorisé" mise en place de "liste blanche" ?

  • Les flux bloqués sontils journalisés et exploités ?

  • Des audits de configuration sontils régulièrement fait ?

18 - Chiffrement des données sensibles transmises par internet

  • Les mail contenant des données sensibles sont-ils chiffrés avant expédition ?

  • Les données transmises par des plateformes dans le Cloud (SaaS) sont-elles chiffrées ?

  • La transmission des secrets de déchiffrement est-elle faite par un canal de confiance ou différents de celui utilisé pour l'envoi des données sensibles (SMS, appel, ...) ?

V - SÉCURISER LE RÉSEAU

19 - Segmenter et cloisonner le réseau

  • Le réseau est-il segmenté en zones regroupant des besoins de sécurité homogènes ?

  • Le réseau d'administration estil bien séparé des autres VLAN ?

  • Le routage inter VLAN est-il filtré au moyen d'un parefeu ?

  • Les base de données sont-elles dans un VLAN spécifique ? (renforcement RGPD)

  • Les zones concernant les données critiques sont-elles sur des infrastructures dédiées ?

20 - Réseaux WiFi

  • Existe-t-il un SSID spécifique pour le réseau invité ?

  • Le réseau WiFi et tout particulièrement le réseau invité sont-ils dans des VLAN spécifiques et filtrés par parefeu ?

  • Le chiffrement utilise-t-il un algorithme robuste (mode WPA2, algorithme AES CCMP, ...) ?

  • Quel est le niveau de complexité de la passphrase du SSID ?

  • L'authentification des équipements de l'organisation est-elle faire par certificats clients ?

21 - Utiliser des protocoles réseaux sécurisés

  • Les applications utilisent-elles des protocoles sécurisés (ex: TLS pour faire du HTTPS) ?

  • Les protocoles de connexion à distance sont-ils sécurisés (ssh, prise de main à distance, transfert de fichiers, ...) ?

  • L'obsolescence de ces protocoles est-elle contrôlée (ex: arrêt de l'utilisation de TLS 1.1) ?

22 - Passerelle d'accès à internet

  • L'accès à internet utilise-t-il un serveur mandataire (proxy) ?

  • L'accès à internet est-il filtré (parefeu) ?

  • L'accès au contenu est-il filtré ?

  • La navigation est-elle authentifiée et la journalisation effective ?

  • Le proxy dispose-t-il d'un antivirus d'analyse de contenu ?

  • La résolution DNS est-elle assurée par le proxy (plutôt que par les postes clients) ?

  • Les postes nomades utilisent ils la passerelle de l'entreprise via une connexion sécurisée pour naviguer sur Internet ?

23 - Cloisonner les services visibles depuis l'internet

  • Disposez-vous de services informatiques exposées sur Internet dans votre SI ?

  • Ces services sont-ils cloisonnés par rapport au SI de l'organisation ?

  • Les flux provenant d'Internet se font-ils au travers d'un Reverse Proxy ?

  • Disposez-vous de mécanismes de protection et d'analyse des flux applicatifs (WAF) ?

  • Les applications qui n'ont pas à être connectées à Internet sont-elles bien isolées des autres applications ?

  • Les flux internes et les flux externes sont-ils filtrés de manière distincte ?

24 - Messagerie professionnelle

  • Les utilisateurs sont-ils sensibilisés sur les dangers de la messagerie et les bonnes pratiques d'utilisation (expéditeur, lien, message douteux, ...) ?

  • Un guide des usages et bonnes pratiques de la messagerie existe-t-il ?

  • Le système de messagerie dispose-t-il d'un systèmes antivirus ?

  • Les flux de messagerie sont-ils sécurisés (TLS entre serveurs et postes utilisateurs) ?

  • Existe-t-il un serveur de relai dédié à l'envoi et la réception des messages en coupure d'Internet ?

  • Le système de messagerie dispose-t-il d'une protection antispam ?

  • Est-ce que des mécanismes de vérification d’authenticité sont en place ?

  • Quels sont les mécanismes déployés ?

  • Gestion DNS

  • Gestion MX

  • Implémentation de SPF

  • Implémentation de DKIM

  • Implémentation de DMARC

  • Implémentation de BIMI

25 - Sécuriser le interconnexions avec les partenaires

  • La connexion partenaire utilise t'elle un protocole sécurisé (VPN IPSec, ...) ?

  • Disposez-vous de la matrice des flux partenaires ?

  • Les interconnexions partenaires sont-elles filtrées (parefeu) ?

  • Disposez-vous d'un filtrage IP pour les connexions partenaires entrantes ?

  • Disposez-vous d'un équipement de détection d'intrusions (IDS / IPS) ?

  • En cas d'incident de sécurité, disposez-vous d'un point de contact chez chaque partenaire ?

26 - Contrôle d'accès physiques

  • L'accès aux locaux techniques sont-ils contrôlés (serrures, badges, ...) ?

  • L'intervention des prestataires dans les locaux techniques sont-ils toujours encadrés par un collaborateur de l'organisation ?

  • L'accès aux locaux techniques est journalisé ?

  • L'exploitation des journaux est-elle effective (tentative d'accès infructueuse, accès en dehors des horaires normaux, ...) ?

  • Une revue régulière des habilitations d'accès est-elle faite ?

  • La gestion des changements de collaborateurs ou de prestataire est-elle effective pour le systèmes de contrôle d'accès ?

  • Les prises réseau situées dans les zones ouvertes au public sont-elles restreintes (VLAN dédié) ou désactivées ?

  • Les utilisateurs sont-ils sensibilisés aux risques engendré par le contournement des règles d'accès ?

VI - SÉCURISER L’ADMINISTRATION

27 - Interdire l'accès à internet depuis les postes/serveurs utilisés pour l'administration

  • Les postes utilisés pour l'administration du SI ont-ils accès à internet ?

  • Les administrateurs disposent-ils d'un poste de travail standard et un poste spécifique à l'administration du SI ?

  • La mise à jour des logiciels des postes dédiés à l'administration est-elle réalisées avec des sources sûres (directement récupérées de l'éditeur par exemple) ?

28 - VLAN d'administration

  • Disposez-vous d'un réseau d'administration dédié (VLAN) ?

  • Les flux sur ce réseau sont-ils systématiquement chiffrés ?

  • Disposez-vous d'un réseau d'administration physiquement dédié ?

29 - Droits d'administration des postes de travail

  • Les utilisateurs sont-ils administrateur de leur poste de travail ?

  • Les délégation de privilèges sur un poste de travail sont-elles tracées et limitées dans le temps et retirées à échéance ?

VII - GÉRER LE NOMADISME

30 - Sécuriser les terminaux nomades

  • Les utilisateurs sont sensibilisés sur l'utilisation des terminaux mobiles, notamment lors des déplacements ?

  • Les utilisateurs sont-ils informés de la procédure à suivre dans le cadre d'un vol de terminal (avertir l'Organisation, dépôt de plainte, ...) ?

  • Les terminaux mobiles permettent-ils d'identifier l'organisation ?

  • Les terminaux mobiles sont-ils munis d'un filtre de confidentialité ?

  • Les supports externes complémentaires (carte à puce ou jeton USB par exemple) qui conservent les secrets de déchiffrement ou d’authentification sont-ils conservés à part ?

31 - Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable

  • Les terminaux mobiles sont-ils chiffrés ?

  • L'accès aux données sensibles stocker sur un terminal mobile est-il protégé par un secret ?

32 - Sécuriser la connexion des postes nomade

  • Les terminaux nomades utilisent-ils une connexion de type VPN Ipsec pour se connecter à une passerelle mise à disposition par l'Organisation ?

  • Ce tunnel est-il automatiquement établi sans que l'utilisateur ne puisse le débrayer ?

  • Lorsqu'il n'y a pas de VPN, les utilisateurs utilisent ils un partage de connexion via un terminal mobile de confiance (téléphone, modem 4G/5G) ?

  • Est-ce qu'un mécanisme d'authentification forte est implémenté ?

33 - Politique de sécurité

  • Une politique de sécurité spécifique aux terminaux mobiles existe-t-elle ?

  • Les terminaux sont-ils utilisés uniquement pour des fins professionnelles (pas de compte personnel sur le même terminal) ?

  • Existe-t-il une application de gestion des terminaux mobiles ?

  • La liste des applications validées par l'organisation et le contrôle associé des terminaux est-il en place ?

VIII - MAINTENIR LE SYSTÈME D’INFORMATION À JOUR

34 - Politique de gestion des correctifs

  • Etes-vous inscrit dans des groupes d'intérêt/newsletter d'information sur les vulnérabilités autour de votre périmètre technique et applicatif (exemple : le CERT-FR) ?

  • Disposez-vous d'une politique à jour de gestion des correctifs couvrant la totalité des briques technique de votre SI ?

  • Disposez-vous des procédures opérationnelles attenantes à cette politique de gestion des correctifs ?

  • Au delà de la formalisation, effectuez vous des mises à jour régulières de tout ou partie de votre SI ?

  • La diffusion des correctifs s'appuie-t-elle sur des outils dédiés (Microsoft WSUS, SSCM ou autre) ?

  • Disposez-vous de tableau de bord de suivi du niveau de mise à jour de votre SI ?

  • Est-il prévu d'isolés du reste du SI les composants obsolètes de votre SI ?

35 - Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles

  • Disposez-vous d'un inventaire exhaustif et à jour des systèmes et applications de votre SI ?

  • La durée du support produit est-elle prise en compte dans les critères de sélection des solutions ?

  • Avez-vous un suivi de fin de vie des logiciels et des dates de supports ?

  • Assurez-vous une démarche de convergence technique pour éviter de faire coexister des versions différentes d'un même produits/logiciel ?

  • Existe-t-il des adhérences logicielles dans votre SI vous imposant de conserver d'ancienne version de briques techniques ?

  • Dans vos contrats avec des prestataires, fournisseurs, existe-t-il des clauses concernant le suivi des correctifs, les tableaux de bords de restitutions et la gestion des obsolescences ?

  • La gestion de l'obsolescence est-elle traitée comme un projet (gestion des délais, ressources, tests…) ?

IX - SUPERVISER, AUDITER, RÉAGIR

36 - Activer et configurer les journaux des composants essentiels

  • Les composants critiques de votre SI sont-ils identifiés et cartographiés (parefeu, reverse proxy, serveurs critiques, postes de travail des VIP, ...) ?

  • Ces composants critiques sont-ils synchronisés sur une source de temps fiable (NTP par exemple) ?

  • Ces composants critiques génèrent-ils des journaux exploitables ?

  • Les évènements critiques pour la sécurité sont-ils journalisés et conservé en fonction des obligations légales (pendant 1 an minimum) ?

  • => paquets bloqués par les parefeu => =>

A minima, les journaux doivent être constitués de :

  • paquets bloqués par les parefeu

  • authentifications et autorisations au niveau systèmes et applications (succès, échecs, arrêts inopinés…)

  • erreurs de protocoles (ex : erreurs HTTP) traçabilité des flux (URL, entêtes mail)

  • Les journaux sont-ils centralisé sur un serveur de journaux sécurisé ?

  • Les journaux sont-ils exploités pour permettre de créer un événement de sécurité dans le système de gestion des incidents dans les 24 h après sa survenue ?

37 - Définir et appliquer une politique de sauvegarde

  • Avez-vous formalisé une politique de sauvegarde (formel ou non) définissant les exigences et les délai de restauration sur incident ?

  • A défaut d'être formalisés dans une politique de sauvegarde, avez-vous une maîtrise/connaissance des sauvegardes de l’Organisation ?

  • la liste des données jugées vitales pour l'organisme et leurs supports

  • la fréquence des sauvegardes

  • la procédure d'administration et d'exécution des sauvegardes

  • les procédures de tests de restauration

  • la destruction des supports

  • Des tests de restauration des sauvegardes sont-ils fait ?

  • À quelle fréquence (journalière, hebdomadaire, ...)

  • Dans quelle circonstance ?

  • systématique, par un ordonnanceur de tâches pour les applications importantes

  • ponctuelle, en cas d’erreur sur les fichiers

  • générale, pour une sauvegarde et restauration entières du système d’information

  • Un exercice annuel de restauration est-il fait ?

  • Cet exercice fait-il l'objet d'un rapport technique et d'un plan d'amélioration ?

  • Une copie des sauvegardes est-elle externalisée ?

38 - Audits réguliers

  • Procédez-vous à un audit régulier de votre SI permettant d'évaluer les écarts vs les bonnes pratiques ?

  • À quelle fréquence ?

  • Un plan d'action annuel découlant de cet audit est-il réalilsé, piloté … ?

  • Existe-t-il des tableaux de bords, indicateurs de mesure d'avancement de ce plan d'action ?

39 - Désigner un référent

  • Votre organisation a-t-elle désignée un référent en sécurité des systèmes d'information soutenu par la direction ou toute instance décisionnelle ?

  • Tous les utilisateurs ont-ils connaissance de ce référent, de son rôle et responsabilité, et des moyens de le joindre ?

  • Quels sont les éléments connus par tous les utilisateurs ?

  • définition des règles à appliquer selon le contexte

  • vérification de l’application des règles

  • sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques

  • centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs

  • Ce référent est-il régulièrement formés à la sécurité des SI et à la gestion de crise ?

40 - Gestion des incidents de sécurité

  • Les utilisateurs sont-ils sensibilisés aux bonnes pratiques en cas d'incident de sécurité (débrancher la machine du réseau et la laisser sous tension) ?

  • Les processus d'alerte de la hiérarchie sont-ils formalisés, connues des collaborateurs ?

  • Tous les incidents de sécurité sont-ils consignés dans un registre centralisé pour faciliter l'analyse et la reponse à l'incident (mesures, dépôt de plainte,…) ?

  • Des tests sont-ils réalisés (chiffrement de données, comportement anormal du poste de travail) pour sensibiliser les utilisateurs ?

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.